Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming

Vergelijkbare documenten
Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

;,/rit Gemeente Delft

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

Privacy Maturity Scan (PMS)

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene verordening gegevensbescherming

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Privacyverordening gemeente Utrecht. Utrecht.nl

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

In 10 stappen voorbereid op de AVG

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool.

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Algemene Verordening Gegevensbescherming (AVG)

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Veranderingen privacy wet- en regelgeving

De nieuwe privacywetgeving:

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Welkom. ICT-Kring Delft bijeenkomst 9 april 2018

Aon Global Risk Consulting Cyber Practice Privacy Services

DPO Opleiding Considerati

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacybeleid AVG 2018

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging


checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy & online. 9iC9I

Algemene Verordening Gegevensbescherming (AVG)

Algemeen privacybeleid gemeente Asten 2018

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

De Algemene Verordening Gegevensbescherming

ECIB/U Lbr. 17/010

Hoe gaat de gemeente om met uw persoonsgegevens? Privacyverklaring

IBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos

Functieprofiel Functionaris Gegevensbescherming

Privacybeleid gemeente Wierden

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Gegevensbescherming en Privacybeleid

PRIVACYBELEID CONVENIENT FASTGUIDE BV

De AVG in vogelvlucht Wat moeten organisaties doen?

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

ALLE SCHAKELS VAN DE PRIVACYKETTING

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Wat heb je nodig op 25 mei?

Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Voorbereid op de nieuwe privacywet in 10 stappen

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)

Privacy bij de Vrienden van het Staelduinse Bos

Definitieve versie d.d. 24 mei Privacybeleid

Blockchain Smart Contracts AVG

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Algemene Verordening Gegevensbescherming

Wettelijke kaders voor de omgang met gegevens

Gegevensbescherming en privacybeleid

De grootste veranderingen in hoofdlijnen

Datalekken (en privacy!)

Laatst aangepast 1 oktober 2018

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Handleiding. Checklist Data Privacy Impact Analyse

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Plan

Privacybeleid Opleiding tot Psychosociaal Therapeut

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Privacy statement voor sollicitanten KiesZon

Privacy een ICT-ding? Juist niet!

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Agenda. De AVG: wat nu?

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

De gevolgen van de AVG

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

De AVG en de gevolgen voor de uitvoeringspraktijk

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Implementatie Algemene verordening gegevensbescherming Huys Twickelo

Jaap van Oord, FourTOP ICT

Privacyverklaring Rekenkamer Utrecht

DPIA. Leon van Lare en Roza van Cappellen

Transcriptie:

Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming

Indeling Dreigingsbeeld Incidenten en datalekken Informatiebeveiligingsbeleid 2019: stand van zaken SIEM en SOC, Responsible Disclosure ENSIA goed afgerond (zie verantwoordingsrapportage); Nieuw: BIO Privacybeschermingsbeleid 2019: stand van zaken. Aandacht voor fotorichtlijn Verzoeken van betrokkenen, klachten Verwerkersovereenkomsten Adviezen en DPIA s (groei in belang) Bewustwording Governance en schaarste arbeidsmarkt: inspanning regio Verschuivingen in de planning 2019 2

Dreigingsbeeld Maandelijkse monitors van NCSC en IBD signaleren landelijke trends in externe dreigingen. Delft volgt deze monitors en checkt of de gesignaleerde dreigingen zich ook hier voordoen. Wat hebben we in Delft gesignaleerd in het afgelopen half jaar? 3 Veel phishing, slimmere phishing, ook via andere kanalen (SMS) maar geen incidenten daardoor Geen geslaagde ransomware-aanval Geen overlast van DDOS-aanvallen Menselijke fouten, bijvoorbeeld email Zie ook het rapport van de Cyberonderzoeksraad van Brenno de Winter, De schade van Email, waarin getest is hoe kwetsbaar email is als ingang om gevoelige gegevens te bemachtigen.

Incidenten okt 2018 mrt 2019 4

Datalekken 01-10-18 / 1-4 -19 6 5 4 3 2 1 Melding datalekken Bij AP gemelde datalekken Gemeld bij de Autoriteit Persoonsgegevens: 2 x document met bijzondere persoonsgegevens naar verkeerde ontvanger 1 zwervend ID-document 1 niet werkend anonimiseer programma 1 onbevoegde inzage door onvoldoende ingerichte autorisatie in een cliëntenadministratie 0 Okt Nov Dec Jan Febr Maart 5

Informatiebeveiligingsbeleid Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4- 2019 Versterken technische informatiebeveiliging SOC en SIEM ingericht en werkend. Responsible disclosure gerealiseerd. Beveiligingsbeleid gemeentelijke kantoorgebouwen Gebouwbeleid uitgesteld naar Q2 wegens andere prioriteiten Tactische toets voor IT-voorstellen Verder implementeren BIG (richtlijnen) Toets ontwikkeld, nu in testfase Nog geen BIG-projecten afgerond. 6 ENSIA (horizontale en verticale verantwoording) ENSIA conform planning afgerond met goedkeurende verklaring

SIEM en SOC SOC is werkend Het team van het Security Operations Centre is het technisch hart van informatie beveiliging SIEM is voor 80% ingericht en werkend Security Incident and Event management is een methode om incidentlogging te analyseren ten behoeve van informatiebeveiliging 7

Werking van een SIEM Verzamel security gerelateerde logging van alle relevante IT componenten. Structureer en classificeer de loggegevens en zorg dat deze eenvoudig inzichtelijk zijn. Maak het mogelijk om miljoenen events terug te brengen tot belangrijke incidenten.

Responsible disclosure Responsible disclosure ingevoerd half maart (collegebesluit d.d. 12-02-2019) Response tot 10 mei: 1melding (geen kwetsbaarheid) Mini-hackaton uitgesteld, slechts 2 aanmeldingen. Op zoek naar de goede formule! 9

ENSIA en BIO ENSIA 2018 is goed afgerond. Zie de verantwoordings rapportage die op 22-5 wordt besproken in de commissie R&A. ENSIA ENSIA heeft nu de BIG als normenkader. Vanaf 2020 is er een nieuw normenkader voor de hele overheid, de BIO (Baseline Informatiebeveiliging Overheid). Dat wordt vanaf 2020 ook de basis voor ENSIA. Samen met Rijswijk, partner in de GRB, wordt een plan de campagne voor de invoering van de nieuwe normen opgesteld. 10

BIO: nieuwe normen? De BIO is net als BIG gebaseerd op de ISO 27001/27002 standaard. Veranderingen: Standaard Basisbeveiligingniveaus (BBN), met daaraan gekoppeld maatregelen. Voor de gemeente BBN2, soms BBN3 Meer vanuit risicomanagement gedacht, risico-analyse per proces zoals dat lokaal wordt uitgevoerd (QIS?) Daardoor minder voorgeschreven maatregelen (bijna 60% minder), en meer maatregelen op lokale maat Maar: maatregelen die er zijn, zijn wel verplicht (dus geen pas toe of leg uit ) De bestuurder en het management staan meer centraal in de sturing en toepassing van informatiebeveiliging 11 (de 10 bestuurlijke principes voor informatiebeveiliging van de VNG)

Privacybeleid Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4-2019 Richtlijn gebruik foto- en camerabeelden Onderzoek verhouding wet Politiegegevens en AVG Gereed In concept gereed, vergt een intensief communicatietraject met betrokken ambtenaren en bestuurders (de doelgroepen) Onderzoek BRP onder de AVG Convenant Veiligheidskamer herzien Verdiepingsslag verwerkingsregister Evaluatie procedure inzageverzoeken Uitgesteld naar Q2, in samenhang met de herziening van de Verordening BRP Gereed Stopgezet, tot de komst van een nieuwe FG In concept gereed, vervolgstappen richting uitvoering moeten nog genomen worden 12

Verzoeken van betrokkenen om inzage gegevens 1-oktober 2018 / 1 april 2019 10 9 8 7 6 5 4 3 2 1 0 13 Inzageverzoeken 1-10-18 tot 1-4-19 14 verzoekers, 30 verzoeken Geen vervolggesprekken of vervolgverzoeken na de beschikking op het verzoek Geen bezwaren tegen de beschikkingen Geen verzoeken tot aanpassing van verwerkingen 2 inwoners van Delft hebben in deze periode contact gezocht met de functionaris gegevensbescherming van de gemeente over mogelijke schending van de bescherming van hun persoonsgegevens (1 klacht, 1 vraag)

Verwerkersovereenkomsten Verwerkersovereenkomsten 1-4-2019 Verdeling over beleidsonderdelen Aan de verwerkersovereenkomsten met Werkse! en Delft Support wordt nog gewerkt. 14

DPIA s data protection impact assessment DPIA: een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico s te verkleinen. Verplicht: In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. In ieder geval als een organisatie: systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht) De Autoriteit Persoonsgegevens heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. 15

Adviezen en DPIA s: groei Toepassen DPIA in Delft nog in ontwikkeling: Toets aan voornoemde criteria -> overzicht van potentiële DPIA s Inventarisatie gewenste DPIA s Prioriteren en uitvoeren Onder handen Data Protection Impact Assessments: Postproces gemeente-werkse! (auditteam) Informatiestromen tussen gemeente en Delft Support (uitbesteed aan externe auditor) Vroegsignalering schuldhulpverlening EMMA Onder handen privacy adviestrajecten: Ontvlechten en invlechten Delft Support, deelproject Privacy Privacybescherming in ontwikkeling Business Intelligence 16

Bewustwording Communicatie over informatiebeveiliging en privacybescherming wordt via diverse kanalen gepresenteerd zoals Yammer, afdelingsbijeenkomsten, lunchlezingen Er is een basistraining Veilig omgaan met informatie opgestart Voor intensiveren van deze training en voor het bewustwordingsprogramma voor de managers is (nog) geen budget beschikbaar 17

Governance, organisatie en middelen Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4- 2019 Statuut voor CISO en FG vaststellen Statuut nog in wording Aanstellen nieuwe Functionaris Gegevensbescherming (FG) Met OR afspraken maken over personeelvolgsystemen Werving loopt Eerste gesprek met OR is geweest. Afronden instemmingsprocedure verschuift naar Q3 18

Risico: schaarste arbeidsmarkt Uit: Cybersecurity talent, the big gap in Cyber Protection, Capgemini research institute 2018 19 Het niet kunnen beschikken over de benodigde goede professionals is een risico voor het realiseren van de doelen voor informatiebeveiliging en privacybescherming. In Regio Haaglanden is gestart met gezamenlijke acties om meer cyber security professionals aan te trekken en te ontwikkelen.

Verschuivingen in de planning Van Q4 /nieuw naar Q2 / Q3 Plan van aanpak BIO (nieuw) Verkenning Identity en Access Management ivm aandachtspunt authorisatie en toegang in ML PWC Opruimactie mappen en mailbox (bewustwording) Van Q1/Q2 naar Q3/Q4 Herinrichten mappenstructuur Personeelvolgsystemen in OR 20

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback